Metodologi Audit IT
Di bawah ini adalah tahapan-tahapan dalam metodologi
audit IT :
1.
Tahapan
Perencanaan
Sebagai
suatu pendahuluan mutlak perlu dilakukan agar auditor mengenal benar obyek yang
akan diperiksa sehingga menghasilkan suatu program audit yang didesain
sedemikian rupa agar pelaksanaannya akan berjalan efektif dan efisien.
2.
Mengidentifikasikan
reiko dan kendali
Untuk
memastikan bahwa qualified resource sudah dimiliki, dalam hal ini aspek SDM
yang berpengalaman dan juga referensi praktik-praktik terbaik.
3.
Mengevaluasi
kendali dan mengumpulkan bukti-bukti
Melalui
berbagai teknik termasuk survei, interview, observasi, dan review dokumentasi.
4.
Mendokumentasikan
Mengumpulkan
temuan-temuan dan mengidentifikasikan dengan auditee.
5.
Menyusun
laporan
Mencakup
tujuan pemeriksaan, sifat, dan kedalaman pemeriksaan yang dilakukan.
Metodologi audit IT
yang biasanya digunakan :
·
CobiT
Dibuat
oleh organisasi ISACA (Information
systems Audit and Control Association) dan dikembangkan oleh IT Governance
Institute. Misi CobiT adalah melakukan penelitian, pengembangan, publikasi dan
promosi terhadap control objective
dari teknologi informasi yang secara umum diterima di lingkugan internasional
untuk pemakaian sehari-hari oleh manager dan auditor.
·
BS7799
Sebuah
pendekatan berbasis ‘resiko’ dalam mendefinisikan kebijakan dan prosedur serta
untuk memilih kontrol yang memadai untuk mengelola resiko.
Alasan Menggunakan Audit IT
1. Kerugian akibat kehilangan data.
Data yang diolah menjadi sebuah
informasi, merupakan aset penting dalam organisasi bisnis saat ini. Banyak
aktivitas operasi mengandalkan beberapa informasi yang penting. Informasi
sebuah organisasi bisnis akan menjadi sebuah potret atau gambaran dari kondisi
organisasi tersebut di masa lalu, kini dan masa mendatang. Jika informasi ini
hilang akan berakibat cukup fatal bagi organisasi dalam menjalankan
aktivitasnya.
Sebagai contoh adalah jika data
nasabah sebuah bank hilang akibat rusak, maka informasi yang terkait akan
hilang, misalkan siapa saja nasabah yang mempunyai tagihan pembayaran kredit
yang telah jatuh tempo. Atau juga misalkan kapan bank harus mempersiapkan
pembayaran simpanan deposito nasabah yang akan jatuh tempo beserta jumlahnya.
Sehingga organisasi bisnis seperti bank akan benar-benar memperhatikan
bagaimana menjaga keamanan datanya.
Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir.
Kehilangan data juga dapat terjadi karena tiadanya pengendalian yang memadai, seperti tidak adanya prosedur back-up file. Kehilangan data dapat disebabkan karena gangguan sistem operasi pemrosesan data, sabotase, atau gangguan karena alam seperti gempa bumi, kebakaran atau banjir.
2. Kerugian akibat kesalahan
pemrosesan komputer.
Pemrosesan komputer menjadi pusat
perhatian utama dalam sebuah sistem informasi berbasis komputer. Banyak
organisasi telah menggunakan komputer sebagai sarana untuk meningkatkan
kualitas pekerjaan mereka. Mulai dari pekerjaan yang sederhana, seperti
perhitungan bunga berbunga sampai penggunaan komputer sebagai bantuan dalam
navigasi pesawat terbang atau peluru kendali. Dan banyak pula di antara
organisasi tersebut sudah saling terhubung dan terintegrasi. Akan sangat
mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer.
Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada
ketergantungan kehidupan manusia.
3. Pengambilan keputusan yang salah
akibat informasi yang salah.
Kualitas sebuah keputusan sangat
tergantung kepada kualitas informasi yang disajikan untuk pengambilan keputusan
tersebut.
Tingkat akurasi dan pentingnya
sebuah data atau informasi tergantung kepada jenis keputusan yang akan diambil.
Jika top manajer akan mengambil keputusan yang bersifat strategik, mungkin akan
dapat ditoleransi berkaitan dengan sifat keputusan yang berjangka panjang.
Tetapi kadangkala informasi yang menyesatkan akan berdampak kepada pengambilan
keputusan yang menyesatkan pula.
4. Kerugian karena penyalahgunaan
komputer (Computer Abused)
Tema utama yang mendorong
perkembangan dalam audit sistem informasi dalam sebuah organisasi bisnis adalah
karena sering terjadinya kejahatan penyalahgunaan komputer. Beberapa jenis
tindak kejahatan dan penyalah-gunaan komputer antara lain adalah virus,
hacking, akses langsung yang tak legal (misalnya masuk ke ruang komputer tanpa
ijin atau menggunakan sebuah terminal komputer dan dapat berakibat kerusakan
fisik atau mengambil data atau program komputer tanpa ijin) dan atau
penyalahgunaan akses untuk kepentingan pribadi (seseorang yang mempunyai
kewenangan menggunakan komputer tetapi untuk tujuan-tujuan yang tidak
semestinya).
- Hacking - seseorang yang dengan tanpa ijin
mengakses sistem komputer sehingga dapat melihat, memodifikasi, atau
menghapus program komputer atau data atau mengacaukan sistem.
- Virus – virus adalah sebuah program komputer yang
menempelkan diri dan menjalankan sendiri sebuah program komputer atau
sistem komputer di sebuah disket, data atau program yang bertujuan
mengganggu atau merusak jalannya sebuah program atau data komputer yang
ada di dalamnya. Virus dirancang dengan dua tujuan, yaitu pertama
mereplikasi dirinya sendiri secara aktif dan kedua mengganggu atau merusak
sistem operasi, program atau data.
Dampak dari kejahatan dan
penyalahgunaan komputer tersebut antara lain:
- Hardware, software, data, fasilitas, dokumentasi
dan pendukung lainnya rusak atau hilang dicuri atau dimodifikasi dan
disalahgunakan.
- Kerahasiaan data atau informasi penting dari
orang atau organisasi rusak atau hilang dicuri atau dimodifikasi.
- Aktivitas operasional rutin akan terganggu.
- Kejahatan dan penyalahgunaan komputer dari waktu
ke waktu semakin meningkat, dan hampir 80% pelaku kejahatan komputer
adalah ‘orang dalam’.
5. Nilai hardware, software dan
personil sistem informasiDalam sebuah sistem informasi, hardware, software,
data dan personil adalah merupakan sumberdaya organisasi. Beberapa organisasi
bisnis mengeluarkan dana yang cukup besar untuk investasi dalam penyusunan
sebuah sistem informasi, termasuk dalam pengembangan sumberdaya manusianya.
Sehingga diperlukan sebuah pengendalian untuk menjaga investasi di bidang ini.
6. Pemeliharaan kerahasiaan
informasi
Informasi di dalam sebuah organisasi
bisnis sangat beragam, mulai data karyawan, pelanggan, transaksi dan lainya
adalah amat riskan bila tidak dijaga dengan benar. Seseorang dapat saja
memanfaatkan informasi untuk disalahgunakan. Sebagai contoh bila data pelanggan
yang rahasia, dapat digunakan oleh pesaing untuk memperoleh manfaat dalam
persaingan.
Manfaat
Audit IT
Manfaat pada saat Implementasi (Pre-Implementation
Review)
·
Institusi
dapat mengetahui apakah sistem yang telah dibuat sesuai dengan kebutuhan
ataupun memenuhi acceptance criteria.
·
Mengetahui
apakah pemakai telah siap menggunakan sistem tersebut.
·
Mengetahui apakah outcome sesuai dengan harapan
manajemen.
Manfaat setelah sistem live (Post-Implementation
Review)
· Institusi
mendapat masukan atas risiko-risiko yang masih yang masih ada dan saran untuk
penanganannya.
· Masukan-masukan
tersebut dimasukkan dalam agenda penyempurnaan sistem, perencanaan strategis,
dan anggaran pada periode berikutnya.
· Bahan untuk
perencanaan strategis dan rencana anggaran di masa mendatang.
·
Memberikan
reasonable assurance bahwa sistem informasi telah sesuai dengan kebijakan atau prosedur yang telah
ditetapkan.
· Membantu
memastikan bahwa jejak pemeriksaan (audit trail) telah diaktifkan dan dapat
digunakan oleh manajemen, auditor maupun pihak lain yang berwewenang melakukan
pemeriksaan.
·
Membantu
dalam penilaian apakah initial proposed values telah terealisasi dan saran tindak lanjutnya.
Referensi :
http://silfisulfiyah.blogspot.co.id/2010/11/mengapa-perlu-audit-sistem-informasi.html
